Fałszywe maile od Wielisława z DPD infekują komputery
Nie zamawiałeś paczki a DPD twierdzi, że jej nie odebrałeś? Uważaj, to kolejne oszustwo, dzięki któremu przestępcy mogą zablokować twój komputer za pomocą zagrożenia o nazwie Crypt0L0cker.
Wygląda na to, że hakerzy nie przebierają w środkach i skorzystają z każdej możliwości, by skutecznie uprzykrzyć nam korzystanie z komputerów – co jakiś czas szykują bowiem kapanie mailowe, za pomocą których rozsyłają oprogramowanie, które ma przejąć kontrolę nad naszymi komputerami. Tym razem oszuści postanowili podszywać się pod jedną z większych firm kurierskich na świecie, DPD.
Przy pomocy specjalnie spreparowanego maila, który do złudzenia przypomina korespondencję DPD – jak często w takich przypadkach, nie pozbawioną literówek i błędów stylistycznych – oszuści zachęcają do sprawdzenia statusu rzekomo zamawianej przez nas paczki.
Z maila, dowiadujemy się przede wszystkim, że kurier o imieniu Wielisław nie zastał nikogo pod wskazanym adresem. Treść informacji z oryginalną pisownią znajdziecie poniżej:
„Kurier WIELISŁAW nie był w stanie dostarczyć swój numer paczki:
Musisz uzyskać informacje o wysyłce i wydrukować go, aby otrzymać paczek_”
Takie błędy są już pierwszym poważnym sygnałem, że coś jest nie tak, przecież żadna poważna firma nie pozwoliłaby sobie na takie uchybienia.
Jednak błędy językowe to nie jedyne ostrzeżenie, jakie możemy znaleźć już w samym mailu. W pasku nadawcy widnieje bowiem adres pickup@dpdpl.com, który mniej spostrzegawczym użytkownikom, po mimo braku kropki przed pl w nazwie domeny, może wydawać się podobny do oryginalnej strony firmy.
Jeśli ktoś kliknie w odnośnik, to przenosimy się na stronę, która nieuważnym użytkownikom może wydać się łudząco podobna do oryginalnej strony do śledzenia paczek DPD. Trzeba przyznać, że cyberprzestępcy wykonali tu kawał dobrej roboty, zresztą porównajcie sami.
Jeżeli postępujemy zgodnie z instrukcją przestępców i wpisaliśmy kod captcha możemy pobrać rzekomy list przewozowy. Jednak zamiast pliku PDF na nasz komputer trafia archiwum ZIP, wewnątrz którego znajduje się plik JavaScript będący zapewne dropperem ransomware o nazwie Crypt0L0cker. Złośliwy program przejmuje kontrolę nad naszym komputerem i blokuje dostęp do dysku twardego.
Kłopot polega na tym, że większość programów antywirusowych działających na podstawie sygnatur, nawet nie zdaje sobie jeszcze sprawy z isnienia takiego zagrożenia. Z wykryciem Crypt0L0cker radzi sobie m.in. oprogramowanie G DATA.